インターフェイス VPC エンドポイントを使用して Amazon EC2 にアクセスします。
VPC と Amazon EC2 の間にプライベート接続を作成することで、VPC のセキュリティ体制を向上させることができます。インターネットゲートウェイ、NAT デバイス、VPN 接続、または AWS Direct Connect 接続を使用せずに、VPC 内にあるかのように Amazon EC2 にアクセスできます。VPC のインスタンスは、パブリック IP アドレスがなくても Amazon EC2 にアクセスできます。
詳細については、「AWS PrivateLink Guide (AWS PrivateLink ガイド)」の「Access an AWS のサービス using an interface VPC endpoint (インターフェイス VPC エンドポイントを使用して にアクセスする)」を参照してください。
インターフェイス VPC エンドポイントを作成する
以下のサービス名を使用して、Amazon EC2 のインターフェイス エンドポイントを作成します。
-
com.amazonaws.
region.ec2 — Amazon EC2 API アクションのエンドポイントを作成します。
詳細については、[AWS PrivateLink Guide] (ガイド) の[Access an AWS のサービス using an interface VPC endpoint] (インターフェイス VPC エンドポイントを使用した へのアクセス) を参照してください。
エンドポイントポリシーを作成する
エンドポイントポリシーは、インターフェイスエンドポイントにアタッチできる IAM リソースです。デフォルトのエンドポイントポリシーでは、インターフェイスエンドポイント経由での Amazon EC2 API へのフルアクセスが許可されています。VPC から Amazon EC2 API へのアクセス許可をコントロールするには、カスタムエンドポイントポリシーをインターフェイスエンドポイントにアタッチします。
エンドポイントポリシーは、以下の情報を指定します。
-
アクションを実行できるプリンシパル。
-
実行可能なアクション。
-
このアクションを実行できるリソース。
重要
デフォルト以外のポリシーが Amazon EC2 のインターフェイス VPC エンドポイントに適用されると、RequestLimitExceeded からの失敗したリクエストなど、特定の失敗した API リクエストが AWS CloudTrail または Amazon CloudWatch にログ記録されない場合があります。
詳細については、[AWS PrivateLink Guide] (ガイド) の[Control access to services using endpoint policies] (エンドポイントポリシーを使用してサービスへのアクセスをコントロール) を参照してください。
次の例は、暗号化されていないボリュームを作成したり、暗号化されていないボリュームでインスタンスを起動したりするアクセス許可を拒否する VPC エンドポイントポリシーを示しています。このポリシー例では、他のすべての Amazon EC2 のアクションを実行するアクセス許可も付与しています。
{ "Version": "2012-10-17", "Statement": [ { "Action": "ec2:*", "Effect": "Allow", "Resource": "*", "Principal": "*" }, { "Action": [ "ec2:CreateVolume" ], "Effect": "Deny", "Resource": "*", "Principal": "*", "Condition": { "Bool": { "ec2:Encrypted": "false" } } }, { "Action": [ "ec2:RunInstances" ], "Effect": "Deny", "Resource": "*", "Principal": "*", "Condition": { "Bool": { "ec2:Encrypted": "false" } } }] }
